RLOによる拡張子偽装

パソコンには「RLO」と呼ばれるUnicodeの制御文字が用意されています。

この「RLO」は使い方によっては拡張子の偽装に利用できてしまいます。

一眼に拡張子では怪しいファイルか?判断できない実証実験です。

まずは、適当にフリーの「Teraterm」を用意します。


ファイルの名前をコピーして「メモ帳」へ貼り付けます。


貼り付けた名前を「teratermtxt.exe」に変更します。

※ピリオドとかが複数個名前に入っているとダメっぽいです。


赤線の部分の「m」と「t」の部分にカーソルを当てて右クリックして「RLO」を選択します。


メモ帳の内容にあるファイル名が「teratermexe.txt」のように拡張子がひっくり帰ります。

この文字を全部選択してコピーします。


実際のファイル名に貼り付けるとexeのファイルなんですが名前の拡張子がtxtとんなってます。

この状態でフリーウェアの「IconChanger」などでアイコンを偽装すると全く分からなくなります。


ただし、この方法欠点があり、上記をexeを実行すると構文が間違っているとエラーで開けません。

しかし、ファイル名を元に戻してあげると「teraterm.exe」実行できるようになります。

試しに、batファイルを上記方法で実施しました。batファイルは名前を偽装しても動くようです。

という事は、バッチにrenを入れてファイル名を正規なものに書き換えれば実行できることになります。

この手法はマルウェア作成でも使われているらしく、「**txt.bat」から「**bat.txt」後は正常に動作しますが、バッチの内容を更に変更しようとするとマルウェアとして駆除されてしまいます。(笑

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です